Let’s Encrypt стал почти стандартом для бесплатных TLS-сертификатов: сертификаты выдаются автоматически, работают через протокол ACME, подходят для большинства сайтов и не требуют ручной переписки с центром сертификации. В описании проекта Let’s Encrypt прямо называет себя центром сертификации, который выдает бесплатные TLS-сертификаты и помогает включить HTTPS на сайтах.
Запасной вариант нужен не из недоверия к Let’s Encrypt. Причины обычно практичнее: лимиты выдачи, сбои автоматизации, требования к инфраструктуре, желание не зависеть от одного поставщика или потребность в европейском центре сертификации. В документации ACME проект объясняет базовую модель: ACME-клиент подтверждает контроль над доменом и запрашивает сертификат без ручной проверки заявки.
Прямых аналогов Let’s Encrypt немного. Под «аналогом» разумно понимать не любой платный центр сертификации, а сервис, который выдает публично доверенные DV-сертификаты, поддерживает автоматическую выдачу и продление через ACME, а в базовом сценарии не требует оплаты. По такому критерию к рабочим вариантам относятся ZeroSSL, Google Trust Services Public CA, SSL.com Free DV и Actalis. Buypass раньше часто попадал в такие подборки, но компания прекратила выдачу TLS/SSL-сертификатов, поэтому как актуальная замена уже не подходит.
Как выбрать аналог Let’s Encrypt для сайта
Центр сертификации выпускает цифровой сертификат, по которому браузер понимает, что соединение с сайтом можно шифровать и что домен прошел проверку. В случае с DV-сертификатом проверяют контроль над доменом, а не компанию, бренд или владельца бизнеса. Для обычного сайта, блога, панели управления, витрины проекта или тестового сервера такого уровня чаще всего достаточно.
При выборе стоит смотреть не только на цену. Гораздо важнее поддержка ACME в вашем клиенте, лимиты, выпуск wildcard-сертификатов, работа с DNS-проверкой, требования к аккаунту и поведение сервиса при массовой выдаче. У Let’s Encrypt есть собственные лимиты выдачи, поэтому при большом числе доменов лучше заранее проверить архитектуру продления и не запускать все сертификаты в один день.
Отдельный фактор — срок действия сертификата. Let’s Encrypt сообщил о поэтапном сокращении срока жизни сертификатов: сначала до 64 дней, затем до 45 дней к 2028 году. Подробности опубликованы в плане перехода. Для администратора вывод простой: ручное продление становится плохой идеей, а надежный ACME-клиент становится обязательной частью инфраструктуры.
Лучший аналог Let’s Encrypt не тот, у кого красивее личный кабинет, а тот, который стабильно продлевает сертификаты без участия администратора.
Бесплатные аналоги Let’s Encrypt с поддержкой ACME
ZeroSSL, вероятно, самый заметный коммерческий аналог Let’s Encrypt для владельцев небольших сайтов. Сервис выдает бесплатные 90-дневные сертификаты, поддерживает ACME, REST API и ручную выдачу через веб-интерфейс. В ACME ZeroSSL указано, что через ACME можно выпускать 90-дневные сертификаты без оплаты, включая многодоменные и wildcard-сертификаты. Для тех, кто не хочет сразу настраивать консольный клиент, личный кабинет может стать плюсом. Для хостинга с большим числом доменов нужно отдельно проверить лимиты и условия тарифа.
Google Trust Services Public CA подходит тем, кто уже использует Google Cloud или не против привязать выдачу сертификатов к облачному проекту Google. В Public CA сказано, что для работы нужен External Account Binding: ACME-аккаунт связывают с конкретным проектом Google Cloud. Такой путь сложнее стандартной связки Let’s Encrypt и Certbot, зато логичен для инфраструктуры, где Google Cloud уже используется. Для частного сайта настройка может оказаться избыточной.
SSL.com предлагает бесплатные 90-дневные DV TLS-сертификаты. На странице Free DV компания пишет, что такие сертификаты можно заказать через ACME, а продление остается бесплатным. В отдельном руководстве ACME SSL.com показывает выдачу и отзыв сертификатов через Certbot. По смыслу вариант близок к Let’s Encrypt, но перед массовым внедрением лучше проверить личный кабинет, ограничения бесплатной выдачи и сценарий автоматического продления.
Actalis, итальянский центр сертификации из группы Aruba, в 2025 году объявил о бесплатных DV-сертификатах через ACME. В новости Actalis говорится о бесплатных и неограниченных DV-сертификатах, доступных через протокол ACME. Для европейских проектов такой вариант выглядит особенно интересно. Но в инструкции Actalis отдельно указано, что ACME включается для определенных типов DV-сертификатов, поэтому перед переносом доменов нужно проверить тариф, тип сертификата, SAN-домены и wildcard.
| Центр сертификации | Бесплатный DV-сертификат | ACME | Срок действия | Wildcard | Главный плюс | Главное ограничение | Когда выбирать |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | Да | Да | Сейчас 90 дней, затем переход к 64 и 45 дням | Да, через DNS-проверку | Самый простой и массовый вариант для автоматического HTTPS | Есть лимиты выдачи, ручное продление быстро становится рискованным | Для большинства сайтов, блогов, панелей и серверов |
| ZeroSSL | Да | Да | 90 дней | Да | Есть веб-интерфейс, REST API и привычная ACME-автоматизация | Условия бесплатного тарифа и лимиты нужно проверять перед массовой выдачей | Когда нужен близкий аналог Let’s Encrypt с личным кабинетом |
| Google Trust Services Public CA | Да | Да | Зависит от выпуска через Public CA | Зависит от сценария проверки и клиента | Хорошо вписывается в инфраструктуру Google Cloud | Нужен проект Google Cloud и External Account Binding | Для проектов, которые уже используют Google Cloud |
| SSL.com Free DV | Да | Да | 90 дней | Зависит от продукта и сценария выдачи | Можно использовать как резервный источник бесплатных DV-сертификатов | Перед внедрением нужно проверить ограничения бесплатной выдачи | Для тестов, небольших сайтов и резервного сценария |
| Actalis | Да | Да | 90 дней | Нужно проверять по типу сертификата и плану | Европейский центр сертификации с бесплатной ACME-выдачей | ACME доступен не для всех типов DV-сертификатов | Для европейских проектов и тех, кому нужен альтернативный CA |
| Buypass Go SSL | Нет, выдача прекращена | Раньше поддерживался | Не актуально | Не актуально | Раньше был заметной альтернативой | Сертификаты больше нельзя заказать, продлить или заменить | Не выбирать для новых проектов |
| Cloudflare Origin CA | Да, но только для связи с исходным сервером | Нет в смысле прямой замены публичному ACME-CA | Зависит от настройки в Cloudflare | Да, в рамках Cloudflare | Удобен для защиты канала между Cloudflare и origin-сервером | Не является обычным публично доверенным сертификатом для прямого открытия сайта | Только если сайт работает через Cloudflare |
Buypass больше нельзя считать рабочей заменой Let’s Encrypt. Компания в 2025 году объявила, что с 15 октября 2025 года прекращает предлагать TLS/SSL-сертификаты. На странице решения Buypass указано, что прекращение связано с оценкой рынка и требований к выпуску TLS/SSL-сертификатов. На странице Go SSL также сказано, что сертификаты больше нельзя заказать, продлить или заменить. Старые инструкции с Buypass Go SSL лучше не использовать как актуальный план.
Cloudflare Origin CA часто путают с полноценной заменой публичного центра сертификации, но задача другая. В Origin CA Cloudflare объясняет, что такие сертификаты шифруют соединение между Cloudflare и исходным сервером. Для сайта, который открывается напрямую без проксирования через Cloudflare, такой сертификат не заменяет Let’s Encrypt, потому что браузеры не будут воспринимать его как обычный публично доверенный сертификат.
Внутренние центры сертификации, например для корпоративной сети, лаборатории или Kubernetes, тоже не являются прямыми аналогами Let’s Encrypt. Они полезны для закрытых сервисов, где администратор сам управляет доверием клиентов. Для публичного сайта такой подход не подходит, если корневой сертификат не входит в доверенные хранилища браузеров и операционных систем.
Перед сменой центра сертификации нужно проверить CAA-записи DNS. Если домен разрешает выдачу сертификатов только Let’s Encrypt, новый поставщик не сможет выпустить сертификат, пока в DNS не добавят нужное разрешение. При переезде на ZeroSSL, Google Trust Services, SSL.com или Actalis лучше сначала проверить один тестовый домен, затем отработать продление, а уже после переносить остальные сайты.
Let’s Encrypt остается самым простым вариантом для большинства сайтов, ZeroSSL удобен как близкая замена с веб-интерфейсом, Google Trust Services логичен для Google Cloud, SSL.com Free DV подходит как резервный источник, а Actalis интересен европейским происхождением и поддержкой ACME.
Вопросы и ответы
Какой аналог Let’s Encrypt выбрать для обычного сайта?
Для обычного сайта чаще всего достаточно Let’s Encrypt. Если нужен запасной вариант, первым стоит проверить ZeroSSL: сервис поддерживает бесплатные 90-дневные сертификаты, ACME и веб-интерфейс. Перед переносом домена нужно проверить лимиты тарифа и автоматическое продление.
Можно ли заменить Let’s Encrypt на Google Trust Services?
Да, Google Trust Services Public CA поддерживает выпуск сертификатов через ACME. Но для работы нужен проект Google Cloud и привязка ACME-аккаунта через External Account Binding, поэтому настройка сложнее, чем у Let’s Encrypt.
Подходит ли Cloudflare Origin CA как аналог Let’s Encrypt?
Нет, если сайт должен открываться напрямую в браузере. Cloudflare Origin CA подходит для соединения между Cloudflare и исходным сервером, но не заменяет публично доверенный сертификат для посетителей без проксирования через Cloudflare.
Почему бесплатные сертификаты обычно действуют недолго?
Короткий срок действия снижает риск при утечке ключа и подталкивает администраторов к автоматическому продлению. Для надежной работы сайта сертификаты нужно продлевать не вручную, а через ACME-клиент.
Let’s Encrypt по-прежнему остается главным бесплатным центром сертификации для публичных сайтов, но запасные варианты есть. ZeroSSL, Google Trust Services Public CA, SSL.com Free DV и Actalis закрывают похожие задачи, хотя отличаются настройкой, лимитами и требованиями к аккаунту. Для серьезного проекта лучше держать не только рабочий сертификат, но и проверенный резервный сценарий выдачи, чтобы сбой одного центра сертификации не превращался в простой сайта.
Информация носит справочный характер. При настройке TLS-сертификатов, автоматической выдачи, DNS-записей и внутренних центров сертификации нужно соблюдать законодательство РФ, правила владельцев доменов, требования хостинга и политики выбранного центра сертификации. Не выпускайте сертификаты для чужих доменов и не обходите проверки владения доменом.
